Clickjacking / UI Redressing
El servidor no establece X-Frame-Options ni CSP frame-ancestors, permitiendo que cualquier sitio cargue la página en un iframe transparente para interceptar clics del usuario
Ejemplos de explotación:
Sin X-Frame-Options ni CSP frame-ancestors. Cualquier sitio puede cargar esta página en un iframe invisible
/api/lab/clickjacking?mode=vulnerableTransferencia de 5.000€ ejecutada. El usuario creyó hacer clic en un botón de juego mientras el iframe estaba superpuesto
/api/lab/clickjacking?action=transfer&amount=5000&to=attacker-walletSolo 1€ — parece inofensivo. Usado para autorización silenciosa de cuenta bancaria del atacante
/api/lab/clickjacking?action=transfer&amount=1&to=attacker-enrollmentSolo permite el iframe desde el mismo origen. Aún explotable con double-iframe en navegadores antiguos
/api/lab/clickjacking?mode=xfo-sameoriginProhíbe cualquier iframe, incluso del mismo origen. Cabecera Legacy compatible con IE11
/api/lab/clickjacking?mode=xfo-denyContent-Security-Policy: frame-ancestors 'none' — la defensa recomendada moderna, no bypasseable
/api/lab/clickjacking?mode=csp-ancestorsframe-ancestors 'self' https://attacker.example.com — el atacante controla ese dominio
/api/lab/clickjacking?mode=csp-weakClásico ataque a botones de redes sociales cargados en iframe. Sin frame-ancestors el botón es invisible y superpuesto
/api/lab/clickjacking?mode=vulnerableVulnerabilidad Media
Sin X-Frame-Options ni CSP frame-ancestors el atacante carga la página en un iframe transparente (opacity:0, z-index:999) superpuesto sobre su propia página con un botón tentador ('¡Pulsa aquí para ganar!'). El usuario hace clic creyendo interactuar con el contenido del atacante pero en realidad ejecuta la acción del iframe (transferencia, eliminación de cuenta, publicación en redes). OWASP A05:2021 — CVSS 6.5. Defensa: CSP frame-ancestors 'none' + X-Frame-Options: DENY + tokens CSRF en acciones sensibles.
Esta aplicación es vulnerable por diseño - Solo para propósitos educativos
© 2025 Aitana Security Lab